‘롯데카드 2,600만건 정보유출’막을 수 있었다!

지난 1월 설 연휴를 앞두고 터진 사상 최악의 카드사 고객 정보 유출 사건의 중심에 서있는 ‘롯데카드 2,600만건 정보유출’을 막을 수 있었다는 주장이 제기됐다.

이번 카드3사 정보유출의 당사자인 박모 차장이 신한카드사의 FD개발 용역사업(‘13년 4월)을 수행하는 과정에서 보안정책에 반하는 각종 요구를 하는 등 사고 가능성이 높다는 이유로 교체되었던 것으로 드러났다.

김영주 의원(민주당, 영등포갑)이 신한카드사가 금융감독원에 제출한 자료를 입수하여 분석한 바에 의하면, 박모 차장은 보안상 금지된 USB 사용, 인터넷 개통, 원본데이터 사용을 요청하는 등 보안 정책에 반하는 요구를 지속적으로 해왔다,

신한카드는 박모 차장에 대한 팀원들의 불만이 제기되고, FD개발 일정이 지연될 가능성이 높다는 이유로 ‘13년 7월경 KCB에 교체를 요구해 다른 직원이 대체 투입되었다.

당시 박모 차장과 함께 용역 업무를 수행했던 KCB 직원이 5명(상주인원 3명, 비상주인원 2명)이나 있었고, 용역업무 책임자를 교체하는 것은 흔치 않는 일이다.

김영주 의원은 “KCB는 박모 차장의 교체 요구 사유가 보안정책에 반하는 요청들로 인한 것임을 충분히 인지하고 있었을 것”이라며, “KCB가 교체 사유를 철저히 조사하고 박모 차장이 수행하고 있었던 롯데카드사의 겸임 용역 업무에 대해서도 보안실태 확인이 이루어졌다면, 최소한 ‘13년 12월에 발생한 롯데카드의 2,600만건의 대량 정보유출은 막을 수 있었을 것이다.”라고 말했다.

또한, 지난 7일(토) 국정조사 현장조사에서 KCB 김상득 사장은 "저희는 '원 데이터(raw data)'를 요구하지 않는다"며, 카드사가 원 데이터를 준 이유로 "FDS 개발은 많은 데이터를 요구한다"며 "일하는 과정에서 불편하다 보니 편의상 원 (카드사가) 데이터를 준 것 같다"는 주장을 하였으나,

KCB의 직원들에 의하면 경우 외주 업무(FDS)를 수행시에 업무상 편의를 위해 인터넷 개통을 통상적으로 요청하고 있으며, 원 데이터(raw data)도 작업의 용이성, 정확성을 위해 요청하고 있다고 증언해 김상득 사장의 주장은 직원의 대량정보유출의 책임을 회피하려는 발언임이 확인됐다.

김영주 의원은 “금번 대량 정보유출사태에 대하여 카드3사와 KCB가 ‘자신들도 피해자’라는 생각으로 책임 회피에만 급급하고, 정보유출에 대한 피해보상은 계획은 전혀 없다”며, “이번 국정조사에서 카드사의 보안 법령 및 규정 미준수 책임과 KCB가 직원의 관리·감독을 소홀히 하여 대량 정보유출의 피해를 키운 책임을 엄중히 묻고 피해보상 방안을 마련토록 할 것이다.”고 밝혔다.

이와 함께 롯데카드가 제출한 “FDS 시스템 개발 이력 및 데이터 사용 현황” 자료에 따르면,

과거 박모 차장이 ㈜BI RAB 회사에 소속되어 롯데카드 FDS 용역사업을 2009년도부터 4차례 수행할 당시에도 롯데카드사는 변형이나, 암호화가 되지 않은 ‘실 데이터’를 사용한 것으로 드러나 롯데카드의 경우 당시에 정보유출이 일어났을 가능성이 매우 큰 것으로 나타났다.

오경희 기자
<저작권자 ⓒ 영등포시대, 무단전재 및 재배포 금지>